Einsatz von Videodiensten und Konferenzsystemen
I. Was ist beim Einsatz eines (Video-)Konferenzdienstes zu beachten?
1. EU-Dienste vorziehen: Es empfiehlt sich den sicheren Weg zu wählen und gleichwertigen Diensten aus der EU den Vorzug zu geben.
2. Auf datenschutzfreundliche Einstellungen der Dienste achten: Den Dienst mit den datenschutzfreundlichsten Verfahrens- und Einstellungsmöglichkeiten wählen. Hiertz gehören u.a.:
Verschlüsselung: Übertragung sollte verschlüsselt erfolgen.
Geschäftsnutzung: Erlaubnis, dass der Dienst auch geschäftlich genutzt werden darf.
Ausdrückliche Freigabefunktionen sollten vorhanden sein, d.h. Bildschirmübertragung oder Aufzeichnung nur nach ausdrücklicher Zustimmung erfolgen.
Keine Speicherung / Löschung: Protokolle und Aufzeichnungen von Gesprächsverläufen grundsätzlich nach Gesprächsende gelöscht werden.
Profiling: Es sollten keine Verhaltensprofile der Teilnehmer gebildet werden.
II. Was ist zu beachten, wenn der Diensteanbieter in einem Drittland sitzt?
Drittländer sind Länder außerhalb der EU. Werden Anbieter aus Drittländern eingesetzt, so muss sichergestellt werden, dass das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO). Wann kann das der Fall sein?
1. Feststellung eines angemessenes Datenschutzniveaus durch die EU-Kommission – derzeit z. B. Schweiz, Neuseeland, Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Kanada und Israel
2. Privacy-Shield-Zertifikat – Bei Dienstleistern mit Sitz in den USA kann ein angemessenes Datenschutzniveau angenommen werden, wenn diese über ein Privacy-Shield-Zertifikat verfügen.
3. „Standard Contractual Clauses (SCC)” –SCC verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (häufig mit Auftragsverarbeitungsverträgen verbunden).
4. Einwilligung – Achtung bei Einwilligungen - es besteht zwar die Möglichkeit, dass Einwilligungen der Teilnehmer eingeholt werden. Jedoch sind Mitarbeiter besonders geschützt und deren Einwilligungen ist grundsätzlich nur unter strengen Voraussetzungen wirksam.
III. Stichwort: Auftragsverarbeitungsvertrag:
Verarbeiten Dienstleister personenbezogene Daten nur nach entsprechender Weisung ihrer Auftraggeber, so spricht bezeichnet man diese als Auftragsverarbeiter (die Prüfung muss im Einzelfall erfolgen auch vor dem Hintergrund der Abwägung einer gemeinsamen Verantwortlichkeit). Auch Anbieter von Video- und Onlinekonferenzdiensten sind in den meisten Fällen Auftragsverarbeiter. Es gilt daher folgendes zu beachten:
1. Auftragsverarbeitungsvertrag abschließen gemäß Art. 28 DSGVO.
2. technische und organisatorische Maßnahmen & Subunternehmer prüfen –(z. B. Pseudonymisierung, Backupverfahren, Verschlüsselungen, etc., Art. 32 DSGVO)
IV. Informationen in der Datenschutzerklärung:
Es besteht die Verpflichtung die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Konferenzen oder Webinare zu informieren (Art. 12, 13 DSGVO).
Kunden Geschäftspartner aber auch Mitarbeiter sollten entsprechend belehrt werden. Hierfür empfiehlt es sich diese Informationen in der Datenschutzerklärung aufzunehmen und bspw. in Einladungen zu einem Onlinemeeting oder per Link auf Login-Seiten auf diese hinzuweisen.
V. Verarbeitungsverzeichnis:
Im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) sollte im Rahmen der aufgeführten Verarbeitungsprozesse auch der eingesetzte Konferenzdienst aufgenommen werden.
Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.